整理利用SSH Key实现安全的密钥证书方式登陆.docx
- 文档编号:11125401
- 上传时间:2023-05-29
- 格式:DOCX
- 页数:13
- 大小:432.52KB
整理利用SSH Key实现安全的密钥证书方式登陆.docx
《整理利用SSH Key实现安全的密钥证书方式登陆.docx》由会员分享,可在线阅读,更多相关《整理利用SSH Key实现安全的密钥证书方式登陆.docx(13页珍藏版)》请在冰点文库上搜索。
整理利用SSHKey实现安全的密钥证书方式登陆
利用SSHKey实现安全的密钥证书方式登陆
SSH作为Linux服务器的缺省登陆方式,安全性上需要进一步的增强,就我个人经验来讲,主要有以下方法:
1.禁止root用户登陆:
修改/etc/ssh/sshd_config
PermitRootLoginyes
2.仅允许某一用户(如Jack)登陆
修改/etc/ssh/sshd_config
UserAllowJack
3.修改SSH监听端口(如7890)
修改/etc/ssh/sshd_config
Port7890
4.通过hosts.allow仅允许指定IP(如8.8.8.8)或IP段(如8.8.8.x)通过
修改/etc/hosts.deny
sshd:
all
修改/etc/hosts.allow
sshd:
8.8.8.8
sshd:
8.8.8.
5.禁用密码方式验证,使用密钥证书方式登陆
具体实现过程将稍后在本文中进行讲解
6.在服务器上安装OpenVPNServer,然后仅允许OpenVPN的本地IP段通过
这样每次都需要通过证书登陆到OpenVPN,才能再登陆到SSH,具体OpenVPN的搭建请参考我的这篇文章:
从1到6,安全级别逐渐加强,但安全与便捷始终存在着矛盾,这一点需要大家自己进行取舍。
下面,我将对利用SSHKey实现安全的密钥证书方式登陆进行介绍,介绍中包括的客户端为SSHSecureShell,PuTTY,SecureCRT以及Linux终端。
一、配置OpenSSH服务端
1.修改配置文件中的以下记录
#vim/etc/ssh/sshd_config
================================
PermitEmptyPasswordsno
PasswordAuthenticationno
RSAAuthenticationyes
PubkeyAuthenticationyes
AuthorizedKeysFile.ssh/authorized_keys
StrictModesno
================================
2.为用户(如jack)创建authorized_keys文件
#cd/home/jack
#mkdir.ssh
#touch.ssh/authorized_keys
#chmod700.ssh
#chmod600.ssh/authorized_keys
#chown-Rjack:
jack.ssh(SUSE上需要执行chown-Rjack:
users.ssh)
3.重启OpenSSH服务
#/etc/init.d/sshdrestart
二、配置SSH客户端
使用SSHSecureShell客户端生成SSHKey
打开SecureCRT客户端,点击“Edit-Settings”;
选择“GlobalSettings-UserAuthentication–Keys”,点击“GenerateNew”;
再出现的界面中选择“RSA”与“1024”,点击“下一步”;
会出现一个密码生成的界面,完成之后,点击下一步;
在界面中输入文件名,提示信息与密码短语,点击下一步;
可以看到刚刚生成的key;
进入密钥存放路径中,用记事本打开Jack.pub公钥文件;
将文件中的密钥信息复制到新的文件中,重新编辑为可被OpenSSH接受的格式;
例如原有格式:
----BEGINSSH2PUBLICKEY----Comment:
"Jack[1024-bitrsa,Digby]"
AAAAB3NzaC1yc2EAAAADAQABAAAAgQDSaMbbAmwE/b0NaqGN/9yq56UEYzQ0PEUCgTCN
qnCPOXnHqqH0H7G/77MXZ0j9ekzL7arLzjcZBXpYSrg7ueSj+6yIsGnlH8g0k1u/uqTe
9/8xDIwxww9OFvRPk9KP7W1653ahj9w/gOxYu66+sT5tt4lu643zPIOO7Fm3cjuy7Q==
----ENDSSH2PUBLICKEY----
可被OpenSSH接受的格式,即“ssh-rsa密钥提示信息”,需要去除换行,将整个处理为单行记录:
ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAAAgQDSaMbbAmwE/b0NaqGN/9yq56UEYzQ0PEUCgTCNqnCPOXn
HqqH0H7G/77MXZ0j9ekzL7arLzjcZBXpYSrg7ueSj+6yIsGnlH8g0k1u/uqTe9/8xDIwxww9OFvRPk9KP7W1653a
hj9w/gOxYu66+sT5tt4lu643zPIOO7Fm3cjuy7Q==Jack
将编辑后的内容复制下来,并粘贴到服务器中需要通过密钥登陆的用户(如jack)的~/.ssh/authorized_keys文件中。
此时SSHSecureShell默认已经使用Identity文件作为本地私钥了;
使用SSHSecureShell工具进行登陆,当出现以下提示框,说明密钥已经验证通过,输入设置的密码短语,即可登陆。
使用Linux终端生成SSHKey
使用ssh-keygen生成SSHKey,依次输入:
回车,密码短语,密码短语。
然后进入密钥存放路径中,打开id_rsa.pub公钥文件;
将文件中的内容复制下来,粘贴到服务器中需要通过密钥登陆的用户(如jack)的~/.ssh/authorized_keys文件中。
使用命令行进行登陆,当出现以下提示框,说明密钥已经验证通过,输入设置的密码短语,即可登陆。
使用PuTTY客户端生成SSHKey
打开PUTTYGEN.exe程序,点击Generator,在出现的界面中滑动鼠标来输入随机数据,进入到如下界面。
执行以下操作:
在Keycomment:
输入key的提示信息;
在Keypassphrase:
输入key的密码短语,在Confirm passphrase:
再次输入key的密码短语;
在Typeofkeytogenerate:
选择SSH-2RSA;
在Numberofbitsinageneratedkey:
输入1024;
点击Savepublickey保存公钥到本地,命名为ssh-rsa.pub;
点击Saveprivatekey保存私钥到本地,命名为ssh-rsa.ppk。
将最上方的PublickeyforpastingintoOpenSSHauthorized_keysfile:
的文本框中的内容复制下来,并粘贴到服务器中需要通过密钥登陆的用户(如jack)的~/.ssh/authorized_keys文件中。
使用PuTTY,在Connection-SSH-Auth中的Privatekeyfileforauthentication中选择刚生成的ssh-rsa.ppk文件。
使用PuTTY进行登陆,当出现以下提示框,则说明密钥已经验证通过,输入开始设置的密码短语,即可登陆。
使用SecureCRT客户端生成SSHKey
打开SecureCRT客户端,点击“Tools-CreatePublickey”;
一、环境影响评价的发展与管理体系、相关法律法规体系和技术导则的应用
(5)公众意见采纳与不采纳的合理性;在陆续出现的界面中,执行以下操作:
选择下一步,然后选择密钥类型为“RSA”;
输入密码短语与提示信息;
输入密钥长度(位):
1024;
(1)规划和建设项目环境影响评价。
选择“OpenSSHKeyformat”并确认密钥存放路径,点击完成;
[例题-2006年真题]下列关于建设项目环境影响评价实行分类管理的表述,正确的是( )进入密钥存放路径中,用记事本打开Identity.pub公钥文件;
(2)评价范围。
根据评价机构专业特长和工作能力,确定其相应的评价范围。
将文件中的内容复制下来,粘贴到服务器中需要通过密钥登陆的用户(如jack)的~/.ssh/authorized_keys文件中。
如果使用的SecureCRT客户端版本比较低,不能够选择“OpenSSHKeyformat”格式来存储密钥,那么就需要将文件中的密钥信息复制到新的文件中,重新编辑为可被OpenSSH接受的格式;
大纲要求例如原有格式:
----BEGINSSH2PUBLICKEY----
Subject:
Digby
Comment:
"Jack"
ModBitSize:
1024
AAAAB3NzaC1yc2EAAAADAQABAAAAgQDSaMbbAmwE/b0NaqGN/9yq56UEYzQ0PEUCgTCN
qnCPOXnHqqH0H7G/77MXZ0j9ekzL7arLzjcZBXpYSrg7ueSj+6yIsGnlH8g0k1u/uqTe
9/8xDIwxww9OFvRPk9KP7W1653ahj9w/gOxYu66+sT5tt4lu643zPIOO7Fm3cjuy7Q==
----ENDSSH2PUBLICKEY----
(3)总经济价值的组成。
我们可以用下式表示环境总经济价值的组成:
可被OpenSSH接受的格式,即“ssh-rsa密钥提示信息”,需要去除换行,将整个处理为单行记录:
ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAAAgQDSaMbbAmwE/b0NaqGN/9yq56UEYzQ0PEUCgTCNqnCPOXn
HqqH0H7G/77MXZ0j9ekzL7arLzjcZBXpYSrg7ueSj+6yIsGnlH8g0k1u/uqTe9/8xDIwxww9OFvRPk9KP7W1653a
hj9w/gOxYu66+sT5tt4lu643zPIOO7Fm3cjuy7Q==Jack
4)按执行性质分。
环境标准按执行性质分为强制性标准和推荐性标准。
环境质量标准和污染物排放标准以及法律、法规规定必须执行的其他标准属于强制性标准,强制性标准必须执行。
强制性标准以外的环境标准属于推荐性标准。
将编辑后的内容复制下来,粘贴到服务器中需要通过密钥登陆的用户(如jack)的~/.ssh/authorized_keys文件中。
3.评估环境影响的价值(最重要的一步):
采用环境经济学的环境经济损益分析方法,对量化后的环境功能损害后果进行货币化估价,即对建设项目的环境费用或环境效益进行估价。
此时SecureCRT默认已经使用Identity文件作为本地私钥了,如果需要指定私钥文件,需要在“Connection-SSH2-Authentication(PublicKey)-Properties”中进行设置;
(四)建设项目环境影响评价的内容使用SecureCRT工具进行登陆,当出现以下提示框,则说明密钥已经验证通过,输入开始设置的密码短语,即可登陆。
三、注意事项
在生成了key之后,一定要保存好生成的两个证书文件,它们分别代表了公钥和私钥;
其中公钥用于添加到服务器端用来识别私钥,私钥用于服务器认证,如果不单独复制出来好好的保存的话,极有可能在重装系统或SSH客户端之后,造成两个证书文件的丢失,也就再也无法登陆服务器了。
另外,为证书创建一个密码短语也是非常有必要的,因为如果一旦证书泄露了,且没有密码短语的保护,那么拿到证书的人就可以直接登陆到服务器中。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 整理利用SSH Key实现安全的密钥证书方式登陆 整理 利用 SSH Key 实现 安全 密钥 证书 方式 登陆